针对神经网络的图像对抗样本迁移性强化方法研究.pdf

摘要

在计算机视觉中的识别和分类任务中，神经网络模型展现出优秀性能，能够取

得极高的识别或分类准确率，但当在输入图像中添加人眼难以辨别的微小扰动时，

神经网络模型识别或分类准确率大幅下降，这一过程被称为对抗攻击，被添加微小

扰动的输入图像被称为对抗样本。在生成对抗样本的工作中，如何提升对抗样本迁

移性是对抗攻击研究中的主流工作。对于已知模型结构的白盒攻击方法，生成的对

抗样本迁移攻击其它未知神经网络模型，其对抗样本均展现出较低的迁移性，而且

对抗样本迁移性的研究能够对现实世界的攻击有一定的参考与指导意义。本文从

上述问题为基点，提出对抗样本迁移性强化方法，使对抗样本在迁移攻击中比现阶

段主流算法表现出更优秀的性能。本文主要工作如下：

（1）提出了基于特征空间层的攻击迁移性算法，来解决经典基于梯度攻击迁

移性算法的攻击成功率不高的问题。特征空间层的攻击算法主要将神经网络划分

为不同的卷积层，在经典迁移攻击算法生成对抗样本基础上，平衡对抗扰动方向

与对抗扰动强度大小，寻找最优迁移方向，修正对抗样本，从而提升对抗样本迁

移性。充分实验证明，与经典迁移攻击算法迁移性能相比，本算法具有更好的迁

移攻击性能，平均提升5.08%的攻击成功率，为基于神经网络特征空间层的进阶

攻击打下坚实基础。

（2）提出了基于神经网络中间层正则化的攻击迁移性算法，解决神经网络中

间层攻击的迁移攻击成功率不高的问题。神经网络中间层的划分与特征空间层一

致，均为神经网络的卷积层。在中间层攻击的基础上，提出正则化损失函数，旨

在从对抗扰动本身特征出发，消除对抗扰动对对抗样本迁移性的影响。具体来

看，滤除对抗扰动的高频成分，并寻找最优迁移方向，从而利用该算法生成的对

抗样本具有比现阶段中间层攻击更优秀的性能。充分实验证明，本算法是近年来

对抗样本迁移性能较好的攻击算法，与现阶段SOTA中间层攻击算法相比，平均

提升了4.81%的攻击成功率，进一步说明对抗扰动高频成分对对抗样本迁移性确

实有消极影响，神经网络中间层正则化攻击算法有效提升对抗样本迁移性。

关键词：卷积神经网络，对抗攻击，对抗样本，白、黑盒迁移攻击

ABSTRACT

Althoughconvolutionalneuralnetwork(CNN)modelshavedemonstratedstate-of-

the-artperformance,especiallyinmanyimageclassificationandrecognitiontasks,the

classificationaccuracywouldsignificantlydecreasedintheadversarialimageexamples

setbyaddingslightperturbations.Thisprocessiscalledadversarialattack.Theinput

imageswhichslightperturbationsareaddedtoarecalledadversarialexamples.Many

researchesontheadversarialexamplesshowthat,howtoimprovethetransferabilityof

adversarialexamplesisthemainstreamwork.Asforwhite-boxattackmethodknown

modelstructure,thegeneratedadversarialexamplestransferattackotherunknown

neuralnetworkmodelsshowalowertransferability,thetransferabilityofadversarial

exampleresearchhavecertainreferenceandguidancesignificancetotherealworldof

adversarialattack.Basedontheaboveproblems,thisthesisproposestwoadversarial

e